5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

RootkitRevealer

1 :名無しさん@お腹いっぱい。:05/03/10 04:37:55
安置ルートキットソフト

http://www.atmarkit.co.jp/fwin2k/hotfix/hfb20050304/hfb20050304.html
↑レビュー
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
DL↑

2 :名無しさん@お腹いっぱい。:05/03/10 04:38:47


3 :名無しさん@お腹いっぱい。:05/03/10 04:39:12


4 :名無しさん@お腹いっぱい。:05/03/10 04:40:07
4

5 :名無しさん@お腹いっぱい。:05/03/10 04:40:48
5

6 :名無しさん@お腹いっぱい。:05/03/10 04:41:39
ぁぃ6

7 :名無しさん@お腹いっぱい。:05/03/10 04:42:23
華麗に7

8 :名無しさん@お腹いっぱい。:05/03/10 04:43:37
誰か人柱よろ

9 :名無しさん@お腹いっぱい。:05/03/10 04:49:52
ひといないからアゲ

10 :名無しさん@お腹いっぱい。:05/03/10 05:26:14
通風しますた

11 :名無しさん@お腹いっぱい。:05/03/10 07:49:49
なんか似てる気がする。どっちが元祖なんだろ。 f-secure.com/blacklight

12 :名無しさん@お腹いっぱい。:05/03/10 09:22:33
【ウイルス】F-Secureってどうよ?【対策】
http://pc5.2ch.net/test/read.cgi/sec/1044345732/

13 :名無しさん@お腹いっぱい。:05/03/10 11:06:08
逝ってきます^^

14 :名無しさん@お腹いっぱい。:05/03/12 08:50:57


15 :名無しさん@お腹いっぱい。:皇紀2665/04/01(金) 12:34:46
age

16 :名無しさん@お腹いっぱい。:皇紀2665/04/02(土) 01:08:10
このRootkitRevealerについてだが削除機能とか修復機能はなく、検知のみ。
それと検索中に動画等を見ていると誤検出したりするから作業をしてはいけない。っていうか常駐ソフト以外起動していたらだめ。
削除方法についてはレジストリを手動削除するしかない。
一応削除前にバックアップとっておくといい。一応一つでてきたから削除しておいた。

それと検索後、なんとかかんとかnulls(*)ってのがいっぱいでるがそれは全てスルーしていい。
ファイルが存在しないとかいうやつだが日本語のリンク先だとでるらしい。なのでスルーで、削除したらだめよ。
その他以外のを削除するべき。

長文スマソ

17 :名無しさん@お腹いっぱい。:2005/07/14(木) 02:25:57
July 12, 2005 v1.55

18 :名無しさん@お腹いっぱい。:2005/11/02(水) 19:52:39
伊藤

19 :名無しさん@お腹いっぱい。:2005/11/02(水) 23:52:21
SONY BMGのコピーコントロールCDに、マルウェアのrootkitに類したソフトが含まれていることが
セキュリティ企業F-Secureのブログで指摘された。

このCDをWindowsマシンに挿入すると、ライセンス同意書が表示され、音楽プレーヤーがインストール
されると書かれているが、実はrootkitがインストールされることになる、とF-Secureは指摘。
直接このrootkitをアンインストールする方法はないとしている。このシステムの実装では、ウイルスなど
の悪質なソフトウェアがこのrootkitを悪用して隠れることが可能だとF-Secureは述べている。このため、
最新のウイルス対抗ソフトを使っても探知できない可能性があるという。

http://www.itmedia.co.jp/news/articles/0511/02/news022.html


20 :名無しさん@お腹いっぱい。:2005/11/09(水) 12:02:34
HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf40
これがHiddenとでました。
英語サイトでは、なんかたくさんひっかかったのですが、読めません!!
教えてください。なんですかこれ。

21 :名無しさん@お腹いっぱい。:2005/11/09(水) 12:09:24
CD エミュレーター?
Daemonを案インストールしたら消えたか?

22 :名無しさん@お腹いっぱい。:2005/11/09(水) 12:24:28
ファイル名にSymantecの名がついたプログラムが、
ときどき外部に通信を始めるんだが、
これも要注意なのかな。

23 :名無しさん@お腹いっぱい。:2005/11/10(木) 17:23:18
>>22 えーと・・・ ノートン入れた覚えがなければ要注意かな

24 :名無しさん@お腹いっぱい。:2005/11/12(土) 22:59:49
【SONY BMG】 レーベルゲートCD に rootkit 仕込む
http://pc8.2ch.net/test/read.cgi/sec/1130939544/
サイボウズのWebサイト、「rootkitの強い疑い」で一時閉鎖
http://news19.2ch.net/test/read.cgi/news/1131775033/
【IT】「rootkit」騒動渦中のSONY BMG、XCP技術採用CDの製造を中止
http://live14.2ch.net/test/read.cgi/wildplus/1131770752/
【IT】サイボウズのWebサイト停止、原因はrootkitによる攻撃
http://news19.2ch.net/test/read.cgi/newsplus/1131727938/
Sony BMGの米国内向けCCCDにrootkit
http://music5.2ch.net/test/read.cgi/mdis/1131015496/
【rootkitも豆もスルー】BCNの提灯記事【第四稿】
http://hobby8.2ch.net/test/read.cgi/sony/1131456633/
【国際】ソニー BMG、rootkit的DRMめぐり訴えられる
http://news19.2ch.net/test/read.cgi/gamenews/1131605066/

25 :名無しさん@お腹いっぱい。:2005/11/21(月) 21:00:50
あかん。つかえへん。

PSAPI.DLL ファイルがリンクしているエクスポート
NTDLL.DLL:NtAllocateVirtualMemory は見つかりません。

ってエラーが出る

26 :名無しさん@お腹いっぱい。:2005/11/30(水) 13:06:54
>>25
http://www.dll-files.com/dllindex/dll-files.shtml?ntdll

27 :名無しさん@お腹いっぱい。:2005/12/02(金) 19:20:00
Winxpx64版なんだけど起動できない・・・
まあ、APIがらみのチェックをテンコ盛りでしているんだろうから64ビット対応じゃないとチェック出来ないのかも
しれん。 orz

28 :名無しさん@お腹いっぱい。:2005/12/08(木) 15:00:02
RootkitRevealer v1.6

29 :名無しさん@お腹いっぱい。:2006/02/11(土) 20:12:13
おいお前ら。FCの名作ソフト「いっき」のオンライン対戦するぞ!

http://game.coden.ntt.com/games/ikki.html

King of Wands
http://game.coden.ntt.com/kingofwands/

30 :名無しさん@お腹いっぱい。:2006/03/17(金) 19:50:57
RootkitRevealer v1.7

31 :名無しさん@お腹いっぱい。:2006/06/09(金) 00:43:29
30 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2006/03/17(金) 19:50:57
RootkitRevealer v1.7


32 :名無しさん@お腹いっぱい。:2006/06/15(木) 10:50:43
スレ暇そうなんでオラの結果さらすから誰か解説してちょ

HKLM\S-1-5-21-1957994488-1647877149-725345543-1000\Software\COWON\JetCast\Plugins\TimeCode2006/06/14 12:354 bytesData mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\ewido\config\nmqdcp\ryjimw2006/06/06 19:344 bytesHidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System*2006/06/02 18:250 bytesKey name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf402006/06/14 8:520 bytesHidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf412006/06/14 8:520 bytesHidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf422006/06/14 8:520 bytesHidden from Windows API.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\PdmHist\H38B932EB101C5659.A56AD31201C68FE9.history\00000000.bak2006/06/14 12:352.67 MBHidden from Windows API.

jetAudio, ewido, Kasperskyは何か判定された理由があっても使いたいからまあいいけど
4−6行は347ポート使ってなんか悪さしてたらやだなあ

33 :名無しさん@お腹いっぱい。:2006/06/16(金) 20:48:44
DaemonTools ver347入ってない?

34 :名無しさん@お腹いっぱい。:2006/06/17(土) 10:54:08
Rootkitスレ少ないしRootkitRevealer限定でなく総合でよくないか?
って事で他にも良さそうな物を晒してみるテスツ

Rootkit Hook Analyzer
ttp://www.resplendence.com/hookanalyzer/

RKdetector2
ttp://www.rootkitdetector.com/

35 :名無しさん@お腹いっぱい。:2006/06/17(土) 11:35:35
>>33
さんきゅー おお 入ってますがなー
これらのソフトにルートキット入ってたらすぐ問題になるだろうし、
今のとこそんなの聞いてないからとりあえずおらのPCはokかな
次誰か来なさい

36 :転載:2006/06/17(土) 13:31:05
・Key name contains embedded nulls
これは、レジストリのキー名にnull(値が0のコード)のが使われていることを示す。
nullは、文字列の終わりの印として使われるので、キー名にnullを含ませるとレジストリのキー名を隠すことができる。
そのため、ユーザやウィルス検査ソフトからキー名を見えなくして、その存在を隠すためにこの手法が使われている。
ただし、日本語のキー名を使っている場合は日本語コードにnullが含まれるため、
この「Key name contains embedded nulls」がたくさん報告されることがある。
したがって報告されたレジストリが確かに日本語を使っているのであれば、これは無視して差し支えない。

・Data mismatch between Windows API and raw hive data.
これは、スキャン中に、レジストリの値が変化したときに出る。
今回Microsoftの暗号化関連のレジストリで暗号化のシード値として報告されたが、無視しても問題ない。

・Hidden from Windows API.
Windows APIからは見えないファイルがあることを表す。
ルートキットによって隠されたファイルがあるときは、この報告が出る。
そのため、どんなファイルが隠されているのか、チェックする必要がある。

・Visible in Windows API, but not in MFT or directory index.
これは、スキャン中にファイルが変わったときに出る。スキャン中に変わる可能性があるものであれば、問題ない。
その他の検査結果メッセージは、RootkitRevealerのヘルプに説明がある(英文)のでそれを参照。

37 :転載2:2006/06/17(土) 13:31:51
ルートキットに侵入されたレジストリ、ファイルなどの削除はたいへん手間がかかる。
ゴミ箱にポイというわけにはいかない。何しろファイルは見えないのだから。
一般的、原則的に言って、ルートキットに侵入されたと判断すれば、
ハードディスクの全フォーマットから始めて、OSをクリーンインストールするのが望ましい。
(インストール中にLANケーブルを接続していたりすると、またやられる)

最後に、RootkitRevealerでOKだったからといって、システムが100%安全であるわけではない。
RootkitRevealerは、ルートキットに侵入されたシステムを発見する限定的なツールの一つに過ぎない。
ルートキットは、OSの深部に潜り込み、OSの動作を変えてしまう。
ルートキットの発見は、原理的に、犯人が監督指揮して犯人探しをするようなものである。
それで本当に犯人が発見できるの?という哲学的な問題にぶち当たる。

38 :名無しさん@お腹いっぱい。:2006/06/18(日) 13:34:33
>>34
両方試したんで感想
・HookAnalyzer
RkRで未検出だったPFWのフィルタドライバを検出、
アクティブなモジュールをリスト化してくれるのは便利

。RKDetector
パスやレジストリを指定したりファイルの詳細を調べられる
但し、Betaな為か時々エラーを吐いたりと若干不安定なので
一応リカバリはあるけど上級者向け

39 :名無しさん@お腹いっぱい。:2006/06/30(金) 07:37:54
HookAnalyzerは軽いな

40 :名無しさん@お腹いっぱい。:2006/07/08(土) 03:13:46
BitDefender Antirootkit BETA2
http://www.bitdefender.com/

F-Secure BlackLight Beta似

41 :名無しさん@お腹いっぱい。:2006/07/19(水) 14:25:17
rootkit問題指摘の研究者がMS入り―Winternals Software買収で
http://www.itmedia.co.jp/news/articles/0607/19/news013.html

う〜む http://www.sysinternals.com/ にアクセスできなくなっている

42 :名無しさん@お腹いっぱい。:2006/07/19(水) 19:01:52
落ちてはいないと思うよ

43 :名無しさん@お腹いっぱい。:2006/08/24(木) 19:22:59
Sophos Anti-Rootkit
ttp://www.sophos.com/products/free-tools/sophos-anti-rootkit.html
MD5 Checksum: e2862633e5a04336ce35b52413f55182
ttp://www.sophos.co.jp/products/free-tools/sophos-anti-rootkit.html
MD5 チェックサム: 81f789e7293217e38dce0b9eb0acf470

どちらも中身は同じもので日本の方に書いてあるMD5があってるようです。

44 :名無しさん@お腹いっぱい。:2006/08/25(金) 12:53:19
良スレage

45 :名無しさん@お腹いっぱい。:2006/08/27(日) 02:32:25
AVGもAVG Beta Reporting SystemでAVG_AntiRootkit_1.0.0.13.exeありますね。

46 :名無しさん@お腹いっぱい。:2006/11/23(木) 17:18:11
・HKLM\SECURITY\Policy\Secrets\SAC*2002/12/04 14:540 bytesKey name contains embedded nulls (*)
・HKLM\SECURITY\Policy\Secrets\SAI*2002/12/04 14:540 bytesKey name contains embedded nulls (*)
・C:\WINDOWS\Prefetch\SSMYPICS.SCR-01C62024.pf2006/11/23 16:4462.58 KBHidden from Windows API.
初めてScanしてみました。
3項目のファイルはプリフェッチフォルダのマイピクチャースライドショーのようなので、
問題ないでしょうか?詳しい方教えてください。

47 :名無しさん@お腹いっぱい。:2007/02/16(金) 23:40:58
あげ

12 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)